T设备后面配置L2TP/IPsec服务器

本文介绍如何在 NAT-T 设备后面配置 L2TP/IPsec 服务器。

原始 KB 数： 926179

重要

此部分（或称方法或任务）介绍了修改注册表的步骤。 但是，注册表修改不当可能会出现严重问题。 因此，按以下步骤操作时请务必谨慎。 作为额外保护措施，请在修改注册表之前先将其备份。 如果之后出现问题，您就可以还原注册表。 有关如何备份和还原注册表的详细信息，请参阅：如何备份和还原 Windows 中的注册表。

默认情况下，Windows Vista 和 Windows Server 2008 不支持 Internet 协议安全性（IPsec）网络地址转换（NAT）遍历（NAT-T）安全关联到位于 NAT 设备后面的服务器。 如果虚拟专用网络（VPN）服务器位于 NAT 设备后面，则基于 Windows Vista 或 Windows Server 2008 的 VPN 客户端计算机无法与 VPN 服务器建立第 2 层隧道协议（L2TP）/IPsec 连接。 此方案包括运行 Windows Server 2008 和 Windows Server 2003 的 VPN 服务器。

由于 NAT 设备转换网络流量的方式，你可能会在以下方案中遇到意外结果：

如果必须使用 IPsec 进行通信，请对可从 Internet 连接到的所有服务器使用公共 IP 地址。 如果必须将服务器放在 NAT 设备后面，然后使用 IPsec NAT-T 环境，则可以通过在 VPN 客户端计算机和 VPN 服务器上更改注册表值来启用通信。

设置 AssumeUDPEncapsulationContextOnSendRule 注册表项

若要创建和配置 AssumeUDPEncapsulationContextOnSendRule 注册表值，请执行以下步骤：

以管理员组成员身份登录到 Windows Vista 客户端计算机。

选择“启动>所有程序>附件>运行”，键入 regedit，然后选择“确定”。 如果屏幕上显示“用户帐户控制”对话框并提示你提升管理员令牌，请选择“继续”。

找到并选择以下注册表子项：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

注意

还可以将 AssumeUDPEncapsulationContextOnSendRule DWORD 值应用到基于 Windows XP Service Pack 2（SP2）的 VPN 客户端计算机Microsoft。 为此，请找到并选择 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec 注册表子项。

在 “编辑” 菜单上，指向 “新建”，然后选择 “DWORD”（32 位）值。

键入 AssumeUDPEncapsulationContextOnSendRule，然后按 Enter。

右键单击 AssumeUDPEncapsulationContextOnSendRule，然后选择“修改”。

在 “值数据 ”框中，键入以下值之一：

选择“确定”，然后退出注册表编辑器。

重新启动计算机。